Interviews

Faryam Asif, Chief Technology Officer hos Shufti – Interviewserie

mm

Faryam Asif, Chief Technology Officer hos Shufti er en teknologiekspert med speciale i AI-drevet identitetsverifikation, svindelforebyggelse og sikker digital onboarding. Siden han startede hos Shufti som softwareudvikler i 2018, har han avanceret gennem flere lederroller, inden han blev Chief Technology Officer i 2025, hvor han har ansvaret for virksomhedens teknologistrategi og udviklingen af dens globale identitetsverifikationsplatform. Han fungerer også som Chief Development Officer hos Programmers Force og bringer omfattende erfaring inden for software engineering, produktudvikling og teknologiledelse.

Shufti er en global identitetsverifikations- og compliance-platform, der leverer AI-drevne KYC-, KYB-, AML- og svindelforebyggelsesløsninger til finansielle institutioner, fintech-virksomheder, kryptovaluta-platforme, markedspladser og andre regulerede brancher. Platformen opererer i mere end 240 lande og territorier og kombinerer biometrisk verifikation, dokumentautentificering, liveness-detektion og AI-drevet risikaanalyse for at hjælpe organisationer med at strømline kunde-onboarding, opfylde lovgivningsmæssige krav og forsvare sig mod stadig mere sofistikeret digital svindel.

Du startede hos Shufti i 2018 som softwareudvikler og har siden da hjulpet med at bygge og skalere virksomhedens identitetsverifikationsinfrastruktur til en global platform. Hvordan har karakteren af identitetssvindel udviklet sig i den periode, og hvilke ændringer har været mest overraskende fra et teknologiledelsesperspektiv?

Da jeg startede hos Shufti i 2018 som softwareudvikler, var de fleste svindelforsøg stadig relativt manuelle. Vi håndterede redigerede dokumenter, præsentationsangreb og ret grundlæggende spoofing-teknikker. I løbet af de sidste syv år har jeg set svindel udvikle sig fra noget, der krævede betydelig indsats og ekspertise, til noget der kan genereres på efterspørgsel ved hjælp af AI.

Det, der har overrasket mig mest, er ikke kun, hvor sofistikeret svindel er blevet, men også hvor tilgængelig den er blevet. Generativ AI har effektivt demokratiseret svindel. Evner, der engang krævede specialistfærdigheder, er nu tilgængelige gennem forbrugerorienterede værktøjer. Som vi fremhæver i vores Deepfake Fraud Index, opfører svindel sig i stigende grad som software: når den kan automatiseres, kan den skaleres hurtigt.

To udviklinger skiller sig ud. Den første er injektionsangreb, hvor angribere omgår kameraet fuldstændigt og indtaster syntetisk indhold direkte i en verifikationsstrøm. Den anden er fremkomsten af syntetiske identiteter, hvor AI-genererede personaer skabes i stor skala for at misbruge onboarding-systemer, opnå finansielle tjenester eller lette hvidvaskning. Grænsen mellem ægte og syntetisk indhold er blevet betydeligt sværere at trække, og denne ændring har fundamentalt ændret, hvordan identitetsverifikation skal håndteres.

Shuftis Deepfake Fraud Index forudsiger, at dokument-deepfakes kan stige med næsten 3.900 % i 2026, hvilket gør dem til den hurtigst voksende kategori af AI-drevet svindel. Hvilke faktorer driver denne eksplosive vækst, og hvorfor retter svindlere sig i stigende grad mod dokumenter i stedet for ansigter eller videostrømme?

Vores Deepfake Fraud Index forudsiger, at dokument-deepfakes vil stige med næsten 3.900 % i 2026, hvilket gør dem til den hurtigst voksende kategori af AI-drevet svindel. Væksten drives af to kræfter: den hurtige udvikling af generativ AI og den stigende tilgængelighed af værktøjer, der gør det muligt for næsten alle at skabe overbevisende falske dokumenter.

Det, der engang krævede specialistredigeringsfærdigheder, kan nu opnås gennem AI-drevne værktøjer, der kan generere realistiske pas, kørekort, regninger, kontoudtog og andre onboarding-dokumenter. Samtidig er mange ældre verifikationssystemer stadig stærkt afhængige af OCR og skabelonmatchning. De kan læse teksten og validere et layout, men de har ofte svært ved at afgøre, om selve dokumentet er autentisk.

Svindlere retter sig mod dokumenter, fordi de udgør den mindst modstandsdygtige vej. At omgå et moderne liveness-system kræver at man overvinder flere lag af detektion, mens mange dokumentarbejdsgange stadig er afhængige af relativt simple valideringsteknikker. Derudover kan et manipuleret dokument ofte genbruges på tværs af flere institutioner og onboarding‑processer, hvilket giver en meget højere investeringsafkast for angriberne.

Den vækst, vi ser, er i sidste ende en afspejling af svindeløkonomi. Angribere retter sig konsekvent mod den svageste kontrol i en verifikationsproces, og for mange organisationer forbliver dokumenter den svageste led.

Rapporten identificerer syntetiske identiteter som den største kategori af AI-drevet svindel, der udgør mere end 40 % af AI-svindelaktiviteten. Hvorfor er syntetiske identiteter blevet så effektive som angrebsvektor, og hvad gør dem særligt farlige for finansielle institutioner og kryptoplatforme?

Syntetiske identiteter er blevet effektive, fordi de udnytter en grundlæggende svaghed i mange verifikationssystemer: de fremstår legitime, når enkelte datapunkter evalueres isoleret.

Historisk set kombinerede syntetiske identiteter ofte reelle og fabrikerede oplysninger. Det, vi i stigende grad ser nu, er AI-genererede identiteter bygget omkring syntetiske ansigter og personaer, der aldrig har eksisteret. Vores Deepfake Fraud Index fandt, at syntetiske identiteter udgør 42,3 % af AI-drevet svindelaktivitet, hvilket gør dem til den største kategori af AI-drevet identitetssvindel i dag.

For finansielle institutioner, fintech-virksomheder og kryptoplatforme er risikoen betydelig, fordi en vellykket onboarding ofte giver øjeblikkelig adgang til finansiel værdi. Når en syntetisk identitet kommer ind i økosystemet, kan den bruges til at åbne konti, få adgang til kredit, gøre krav på incitamenter, flytte midler eller lette hvidvaskningsaktiviteter.

Det, der gør syntetiske identiteter særligt farlige, er deres vedholdenhed. Traditionel svindel opdages ofte hurtigt, fordi den involverer et rigtigt offer. Syntetiske identiteter kan forblive aktive i måneder eller endda år, før de opdages. Når de først opdages, kan betydelige finansielle tab allerede være sket, og der er ofte ingen reel person bag kontoen at forfølge.

Kryptovaluta-børser, digitale aktivplatforme og fintech-virksomheder er ofte stærkt afhængige af fjern-onboarding. Hvilke sektorer mener du i øjeblikket er mest udsatte for AI-drevet identitetssvindel, og hvor undervurderer organisationer stadig truslen?

De mest udsatte sektorer er dem, der kombinerer fuldt fjern-onboarding med øjeblikkelig adgang til finansiel værdi. Det inkluderer kryptovaluta-børser, digitale aktivplatforme, digitale banker, fintech-virksomheder, online långivere, buy‑now‑pay‑later‑udbydere og iGaming‑operatører.

Den fælles faktor er, at en vellykket onboarding giver adgang til penge, kredit, tegnebøger, betalingsinfrastruktur eller overførbare aktiver. Det skaber et stærkt incitament for angribere.

Hvor organisationer fortsat undervurderer truslen, er i deres afhængighed af ældre verifikationsantagelser. Mange opererer stadig under troen på, at hvis et dokument matcher en kendt skabelon, må det være ægte. Denne antagelse er i stigende grad farlig i en æra, hvor AI kan generere yderst overbevisende dokumenter i stor skala.

Udover de traditionelle højrisikosektorer mener jeg også, at markedspladser, gig‑økonomi‑platforme og udbydere af indlejret finansiering undervurderer deres eksponering. Efterhånden som svindelværktøjer bliver mere tilgængelige, bliver enhver platform, der er afhængig af fjern‑tillidsopbygning, et potentielt mål.

Mange virksomheder fortsætter med at stole på selfie‑baseret verifikation som primær sikkerhedsforanstaltning. Din rapport argumenterer for, at en enkelt selfie‑kontrol ikke længere er tilstrækkelig. Hvilke sårbarheder findes i traditionelle onboarding‑arbejdsgange, og hvordan bør moderne identitetsverifikation se ud i 2026?

En enkelt selfie er ikke længere nok, fordi AI kan generere realistiske menneskelige ansigter på efterspørgsel. Hvis onboarding primært bygger på en selfie‑kontrol, kan organisationer have begrænset indsigt i, om de interagerer med en rigtig person, en spoof eller en fuldstændig syntetisk identitet.

Traditionelle onboarding‑arbejdsgange forbliver sårbare over for præsentationsangreb, video‑genafspilninger, deepfakes, ansigtsudskiftninger, injektionsangreb og syntetiske identiteter, der kombinerer AI‑genererede ansigter med manipulerede dokumenter. Angribere forsøger ikke længere kun at narre én kontrol; de designer angreb specifikt for at udnytte svagheder i hele onboarding‑processen.

Moderne identitetsverifikation skal være lagdelt. I stedet for at stole på ét signal bør organisationer kombinere certificerede anti‑spoofing‑teknologier som iBeta Level 3 liveness‑detektion, ansigtsmatchning, dokumentverifikation, injektionsangrebsdetektion, enhedsintelligens, adfærdsanalyse og autoritativ database‑verifikation, hvor det er tilgængeligt.

Målet er ikke blot at afgøre, om nogen ser ægte ud. Målet er at fastslå, om selve identiteten er ægte, betroet og konsekvent knyttet til en virkelig person på tværs af flere uafhængige signaler.

Deepfake‑teknologi udvikler sig hurtigt i takt med generative AI‑modeller. Holder svindeldetekteringssystemerne trit, eller går vi ind i en periode, hvor angribere har en midlertidig fordel over forsvarere?

Dette er i høj grad et våbenkapløb, og jeg vil være forsigtig med, at nogen påstår, at kampen allerede er vundet.

Angribere drager bestemt fordel af den hurtige AI‑innovation og den stigende tilgængelighed af generative værktøjer. Organisationer, der er afhængige af ældre verifikationsteknologier, er allerede i en ulempe. I sådanne miljøer har angriberne ofte overhånden.

Samtidig udvikler moderne detektionssystemer sig hurtigt. På tværs af branchen bliver avancerede retsmedicinske tilgange i stigende grad effektive til at identificere AI‑genereret indhold ved at analysere genereringsartefakter, optagelsesintegritetssignaler, kompressionsmønstre, biometriske uoverensstemmelser og kryptografisk oprindelse.

Realiteten er, at ingen af parterne har en permanent fordel. Succes afhænger af tilpasningsevne. Svindelforebyggelse kan ikke længere stole på statiske kontroller; den kræver løbende udviklende detektionsmodeller, der kan reagere på nye angrebsteknikker, efterhånden som de opstår.

rapporten fremhæver tre store angrebsmetoder: præsentationsangreb, injektionsangreb og oprettelse af syntetiske identiteter. Hvilken af disse angrebsvektorer bekymrer dig mest, og hvorfor?

Hvis jeg skulle vælge én, ville det være oprettelse af syntetiske identiteter.

Præsentationsangreb og injektionsangreb er alvorlige trusler, men syntetiske identiteter skaber et dybere og mere vedvarende problem, fordi de angriber selve identitetslaget. Målet er ikke blot at omgå en verifikationssession; det er at etablere en falsk identitet, der kan operere inden for det finansielle økosystem i en længere periode.

Når en syntetisk identitet er blevet succesfuldt onboardet, kan den bruges til at opnå kredit, oprette mule‑konti, flytte ulovlige midler, udnytte incitamenter og lette bredere økonomisk kriminalitet. I mange tilfælde forbliver disse identiteter uopdagede i lange perioder, fordi der ikke er noget rigtigt offer, der rapporterer svindlen.

Det, der bekymrer mig mest, er skalerbarheden. Kombineret med generativ AI og automatiserede onboarding‑systemer kan syntetiske identiteter skabes og implementeres i stort antal, hvilket skaber systemiske risici for finansielle institutioner, fintech‑virksomheder og kryptoplatforme.

Efterhånden som digitale aktiver bliver mere mainstream, og den regulatoriske kontrol øges globalt, hvordan ser du AI-drevet identitetssvindel påvirke Know Your Customer (KYC) og Anti-Money Laundering (AML) compliance‑krav?

AI-drevet svindel accelererer overgangen fra engangsverifikation til kontinuerlig tillidsvurdering.

Historisk set blev KYC ofte betragtet som en onboarding‑øvelse. Denne tilgang bliver mindre effektiv, når syntetiske identiteter, deepfakes og AI‑genererede dokumenter potentielt kan bestå de indledende verifikationskontroller. Organisationer har i stigende grad brug for at overvåge tillid gennem hele kundens livscyklus.

I praksis betyder det større vægt på adfærdsanalyse, transaktionsmonitorering, enhedsintelligens, løbende sanktioner‑ og PEP‑screening samt kryds‑konto risikokorrelation. Compliance‑programmer skal løbende vurdere, om en konto forbliver troværdig efter onboarding.

Jeg tror også, at regulatorer i stigende grad vil forvente, at organisationer demonstrerer ikke kun, at en identitet blev verificeret, men hvordan den blev verificeret. Auditerbarheden af identitetskontroller, herunder beviser for at AI‑genererede svindelrisici aktivt blev overvejet og afbødet, vil blive en stadig vigtigere del af KYC‑ og AML‑compliance‑rammerne.

Regulatorer verden over begynder at tackle de risici, der er forbundet med AI‑genereret indhold og digital identitetssvindel. Hvilke regulatoriske ændringer forventer du vil have den største indvirkning på finansielle institutioner, fintech‑virksomheder og kryptovirksomheder i de kommende år?

Regulatorer begynder at gå ud over at behandle AI‑genereret svindel som et generelt cybersikkerhedsproblem og adresserer det direkte. Et vigtigt eksempel er EU AI Act, som indfører gennemsigtighedsforpligtelser omkring AI‑genereret og manipuleret indhold. Jeg forventer, at lignende rammer vil opstå globalt, efterhånden som regulatorer indser, at deepfakes og syntetiske identiteter skaber risici, der går ud over traditionel svindelstyring.

Jeg forventer også strengere krav til biometrisk sikkerhed, detektion af præsentationsangreb og anti‑spoofing‑kontroller. Standarder som iBeta og NIST‑relaterede evalueringsrammer vil sandsynligvis spille en større rolle i at demonstrere overholdelse og effektivitet i risikostyring.

Samtidig vil privatlivsreguleringer som GDPR og CCPA fortsætte med at presse branchen mod dataminimering og privatlivsbevarende identitetsverifikationsmodeller. Dette kan fremskynde adoptionen af digitale identitets‑wallets, genanvendelige legitimationsoplysninger og attributbaserede verifikationsmodeller, der gør det muligt for organisationer at verificere specifikke påstande uden at indsamle unødvendige personlige data.

Resultatet vil være et mere modent regulatorisk miljø, hvor sikkerhed, privatliv og tillid alle skal adresseres samtidigt.

Ser vi fremad tre til fem år, tror du, at identitetsverifikationsbranchen i sidste ende vil vinde våbenkapløbet mod generativ AI‑svindel, eller vil digital tillid kræve en helt ny model ud over traditionelle identitetskontroller?

Jeg tror ikke, at branchen vil besejre generativ AI‑svindel udelukkende ved traditionel dokumentbaseret verifikation. Teknologien vil fortsætte med at forbedre sig, og angribere vil fortsætte med at tilpasse sig. At stole udelukkende på dokumentkontroller og selfie‑verifikation vil sandsynligvis ikke forblive tilstrækkeligt.

Det, jeg tror på, er, at digital tillid udvikler sig mod en bredere og mere robust model. Traditionel KYC vil forblive vigtig, men den vil i stigende grad blive understøttet af betroede digitale identiteter, biometrik, enhedsintelligens, adfærdsanalyse, kryptografiske legitimationsoplysninger og kontinuerlig risikomonitorering.

Vi ser allerede elementer af denne fremtid gennem statsligt støttede digitale identitetsprogrammer, genanvendelige legitimationsoplysninger og betroede digitale identitetsekosystemer. I stedet for gentagne gange at verificere den samme person ved hjælp af papirbaserede dokumenter, vil organisationer i stigende grad stole på betroede identitetsnetværk, der giver stærkere sikkerhed med mindre friktion.

Fremtiden for digital tillid vil blive bygget på flere lag af sikkerhed, der arbejder sammen. Generativ AI eliminerer ikke digital tillid; den tvinger branchen til at bygge en stærkere og mere robust version af den. De organisationer, der lykkes, vil være dem, der løbende evaluerer tillid gennem hele kundens livscyklus i stedet for at stole på en enkelt verifikationsbegivenhed.

Tak for det fantastiske interview, læsere der ønsker at lære mere, bør besøge Shufti.

Antoine er en visionær futurist og den drivende kraft bag Securities.io, en banebrydende fintech-platform fokuseret på investering i disruptive teknologier. Med en dyb forståelse af finansmarkederne og nye teknologier er han passioneret omkring, hvordan innovation vil omdefinere den globale økonomi. Ud over at have grundlagt Securities.io, lancerede Antoine Unite.AI, et førende nyhedsmedie, der dækker gennembrud inden for AI og robotteknologi. Kendt for sin fremadskuende tilgang, er Antoine en anerkendt tænkeleder, der er dedikeret til at udforske, hvordan innovation vil forme fremtiden for finans.